Возможно ли аппаратное ускорение шифрования LUKS?

8

Мой сервер Linux тратит много времени на вычисление шифрования LUKS. Есть ли способ аппаратного ускорения (с картой PCI Express)?

Glendyr
источник
1
В зависимости от того, какая у вас система сейчас, может подойти более быстрый / лучший процессор. Также определите «много времени».
Свен
Это 1/3 скорости нормальной работы ввода / вывода. Я не рад тратить 2/3 скорости из-за шифрования. Это Ubuntu Server.
Глендыр
1
Какой у тебя процессор? Последние модели Intel имеют AES-NI, а VIA годами использует криптографическое оборудование. Intel (я не знаю AMD) имеет специальные оптимизации для AES gcc.gnu.org/onlinedocs/gcc/i386-and-x86_002d64-Options.html .
Руфо Эль Магуфо

Ответы:

14

Начиная с ядра 2.6.32, инструкции AES-NI на более новых процессорах Intel поддерживаются dm-crypt. Возможно, вы захотите проверить / proc / cpuinfo, если ваш процессор поддерживает эти инструкции. В противном случае обновление вашего процессора ускорит шифрование жесткого диска (при условии, что вы на самом деле используете шифрование AES)

Дополнительная информация: http://en.wikipedia.org/wiki/AES_instruction_set

Sarek
источник
Интересно - что у вас есть и документы / ссылки по теме?
Coops
2
modprobe aesni-intel или добавьте его в / etc / initramfs-tools / modules и запустите update-initramfs -u .
earthmeLon
@earthmeLon это именно то, что я искал!
ortang
3

AESNI - аппаратное ускорение для шифрования AES. Пока ваш LUKS / dmcrypt настроен на использование AES, которым он, скорее всего, является, и при условии, что ваш процессор поддерживает его, вы можете добавить модуль ядра AESNI вручную или автоматически.

Ручной (проверьте, чтобы убедиться, что он работает / поддерживается)

  • sudo modprobe aesni-intel

автоматическая

  • sudo vim /etc/initramfs-tools/modules
    • Добавить aesni_intel
  • sudo update-initramfs -u

Вы хотите добавить его в свои initramfs, а не только в свое обычное ядро, потому что хотите, чтобы оно было доступно до того, как вы расшифруете свой диск и загрузите основное ядро.

earthmeLon
источник
Примечание. Большинство (если не все) Intel i3 не поддерживают AESNI. Вы можете проверить, посмотрев на «AES» в / Proc / CPUInfo: grep aes /proc/cpuinfo.
earthmeLon
Это работает для процессоров AMD , которые поддерживают AES? Я выполнил команду @earthmeLon, которая говорит, что мой AMD A8-4500M поддерживает AES
Suici Doga
0

Насколько мне известно, таких дополнительных карт для шифрования dm-crypt / luks не существует. DM не поддерживает их.

Тем не менее, похоже, что есть шаг вперед, чтобы ускорить GPU в конвейере обработки, если он доступен. Поскольку на серверах по-прежнему редко присутствуют графические процессоры (хотя это меняется), это может быть не очень полезно для вас.

sysadmin1138
источник